Plateforme
wordpress
Composant
simple-crypto-shortcodes
Corrigé dans
1.0.3
Le plugin Simple Crypto Shortcodes pour WordPress présente une vulnérabilité de type Cross-Site Request Forgery (XSRF). Cette faille, présente dans les versions 1.0.0 à 1.0.2, permet à un attaquant non authentifié de modifier les paramètres du plugin. L'absence de validation nonce dans la fonction scs_backend est la cause de cette vulnérabilité. Une correction est disponible et son application est fortement recommandée.
Un attaquant peut exploiter cette vulnérabilité XSRF pour modifier les paramètres du plugin Simple Crypto Shortcodes sans nécessiter d'authentification. Cela peut inclure la modification des clés de cryptage, des paramètres de sécurité ou d'autres configurations sensibles. L'attaquant peut inciter un administrateur du site à cliquer sur un lien malveillant, déclenchant ainsi la requête forgée et permettant la modification des paramètres. La compromission des paramètres du plugin pourrait entraîner une perte de confidentialité des données ou une altération de leur intégrité, affectant potentiellement les utilisateurs du site WordPress.
Cette vulnérabilité a été publiée le 2026-01-24. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'est actuellement disponible, mais la nature de la vulnérabilité XSRF la rend potentiellement exploitable. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.
WordPress websites utilizing the Simple Crypto Shortcodes plugin, particularly those with administrative users who frequently interact with the plugin's backend settings, are at risk. Shared hosting environments where multiple websites share the same server resources may also be indirectly affected if one site is compromised and used to launch CSRF attacks against others.
• wordpress / composer / npm:
grep -r 'scs_backend' /var/www/html/wp-content/plugins/simple-crypto-shortcodes/• wordpress / composer / npm:
wp plugin list --status=all | grep 'simple-crypto-shortcodes'• wordpress / composer / npm:
wp plugin update simple-crypto-shortcodesdisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 0%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Simple Crypto Shortcodes vers une version corrigée, dès qu'elle sera disponible. En attendant, plusieurs mesures d'atténuation peuvent être mises en place. Il est possible d'ajouter une couche de protection supplémentaire en utilisant un pare-feu applicatif web (WAF) configuré pour bloquer les requêtes XSRF. De plus, il est recommandé de renforcer les politiques de sécurité du site WordPress, notamment en exigeant une authentification forte pour les administrateurs et en sensibilisant les utilisateurs aux risques liés aux clics sur des liens suspects. Après la mise à jour, vérifiez que les paramètres du plugin sont conformes à vos exigences de sécurité.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-14903 décrit une vulnérabilité XSRF (Cross-Site Request Forgery) dans le plugin Simple Crypto Shortcodes pour WordPress, permettant à un attaquant de modifier les paramètres du plugin sans authentification.
Oui, si vous utilisez le plugin Simple Crypto Shortcodes dans les versions 1.0.0 à 1.0.2, vous êtes potentiellement affecté par cette vulnérabilité XSRF.
La solution recommandée est de mettre à jour le plugin Simple Crypto Shortcodes vers la dernière version disponible, qui inclura une correction pour cette vulnérabilité.
À l'heure actuelle, il n'y a aucune indication d'une exploitation active de CVE-2025-14903, mais la nature de la vulnérabilité XSRF la rend potentiellement exploitable.
Consultez le site web de WordPress et le dépôt du plugin Simple Crypto Shortcodes pour les mises à jour et les avis officiels concernant CVE-2025-14903.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.